Viren?

flori

Hallo,
in letzter Zeit verhält sich mein PC nicht mehr so wie er sollte.
Ständig poppt Werbung hoch, es erscheint plötzlich das "Herunterfahren-Fenster", irgenwelche Softwareinstallationsasisstenten starten, und antivir meldet ständig Funde.
Meinstens heißen die Funde:
TR/Click.Small.JF.1
TR/Dldr.TSUpdate.F
WORM/Alcra.B

Ich habe schon sämtliche sicherheitsprogramme laufen lassen, doch die Schädlinge tauchen immer wieder auf.

Hier mal das hijackthis logfile:

Code

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
E:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
F:\Programme\Winamp\winampa.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
F:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\MediaGateway\MediaGateway.exe
E:\programme\seekmo\seekmo.exe
E:\Programme\webHancer\Programs\whagent.exe
E:\Programme\ICQLite\ICQLite.exe
C:\mousepad3.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Google\Google Talk\googletalk.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
E:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\Logitech\SetPoint\KEM.exe
E:\Programme\Logitech\SetPoint\KHALMNPR.EXE
E:\PROGRA~1\GEMEIN~1\muou\muoum.exe
E:\PROGRA~1\GEMEIN~1\muou\muoua.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktopMail.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Programme\Network Monitor\netmon.exe
E:\WINDOWS\RmxvcmlhbiBTdGVnZQ\command.exe
E:\WINDOWS\System32\alg.exe
F:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\MSDEV.EXE
F:\Programme\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Seekmo Search Assistant Helper - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - e:\programme\seekmo\seekmohook.dll
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - E:\WINDOWS\DH.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - E:\Programme\webHancer\programs\whiehlpr.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "E:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] E:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MediaGateway] E:\Programme\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [seekmo] "e:\programme\seekmo\seekmo.exe"
O4 - HKLM\..\Run: [tspkzsb] E:\WINDOWS\tspkzsb.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [newname] C:\\newname3.exe
O4 - HKLM\..\Run: [webHancer Agent] E:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] E:\Programme\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "E:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] E:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [muou] E:\PROGRA~1\GEMEIN~1\muou\muoum.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = E:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &amp;ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c24.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: E:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: 123 Flash Chat Server 5.1 - Unknown - E:\Programme\123FlashChatServer5.1\server\wrapper.exe
O23 - Service: AntiVir Scheduler - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Unknown - E:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Command Service - Unknown - E:\WINDOWS\RmxvcmlhbiBTdGVnZQ\command.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - E:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Network Monitor - Unknown - E:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Alles anzeigen

Was tun?

flori

Anonymous

Na dann ab ins http://www.hijackthis.de und deinen Eintarg da rein, dann diese Dinge fixen, also entfernen:

E:\Programme\MediaGateway\MediaGateway.exe

E:\Programme\webHancer\Programs\whagent.exe

E:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe (???)

E:\Programme\Network Monitor\netmon.exe

E:\WINDOWS\RmxvcmlhbiBTdGVnZQ\command.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

bis zu R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O2 - BHO: Seekmo Search Assistant Helper - {5929CD6E-2062-44a4-B2C5-2C7E78FBAB38} - e:\programme\seekmo\seekmohook.dll

O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - E:\WINDOWS\DH.dll

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - E:\Programme\webHancer\programs\whiehlpr.dll

O4 - HKLM\..\Run: [MediaGateway] E:\Programme\MediaGateway\MediaGateway.exe

O4 - HKLM\..\Run: [webHancer Agent] E:\Programme\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] E:\Programme\webHancer\Programs\whsurvey.exe

O10 - Hijacked Internet access by WebHancer

O23 - Service: Command Service - Unknown - E:\WINDOWS\RmxvcmlhbiBTdGVnZQ\command.exe

O23 - Service: Network Monitor - Unknown - E:\Programme\Network Monitor\netmon.exe

Also es war einfacher die guten aus dem Logfile auszuschneiden...

Sag mal, wie kommt den sowas???

Spybot kann ezwa fünf oder sechs killen, der AvertStinger auch noch ein paar.

Das riecht nach Neuaufsetzen...

Ist dein Virenscanner veraltet??? Was macht der Router, wenn er nicht schläft und was die Desktopfirewall?

comvalley

Hast dir etwas eingefangen:

Schau mal selbst, ist ein wenig viel das ganze jetzt hier zu posten.

http://hijackthis.de/index.php#anl

Also schon mal die Privaten daten sichern.

Und dann anfangen.

die gelben Einträge recherchieren wir in der zwischenzeit

Anonymous

O23 - Service: 123 Flash Chat Server 5.1 - Unknown - E:\Programme\123FlashChatServer5.1\server\wrapper.exe

Hier die Wrapper.exe: http://support.microsoft.com/default.aspx?scid=kb%3Bde%3B257604

und: http://www.file.net/prozess/wrapper.exe.html

flori

ui, das sieht nicht gut aus :? 8O
Ist da etwas besonders gefährliches dabei?
Mh, also Desktopfirewall hab ich gar nischt :oops:
Wir haben eigentl einen Router mit firewall. Vielleicht ist der ja nicht richtig konfiguriert.

Ich glaube da kann ich so viel löschen wie ich will.
Ist formatieren nicht besser?

flori

Anonymous

Wenn es keine Daten zu sichern gibt ist Neuaufsetzen am besten...

comvalley

Auf jeden Fall einfacher

Neuinstallation http://de.geocities.de/comvalleykiel/index2.html

Und noch etwas zur Router Firewall:

Wenn du erst etwas auf der Festplatte hast durch einen Download oder einer Mail, infizierte Webseiten und soweiter, hilft die Router Firewall nicht mehr.

Da jedes Programm, das sich auf deinem Rechner befindet, ins Internet kann.
Die Routerfirewall genauso die Microsoft Firewall schützen nur durch Angriffe von draussen.

Und nimm deinen PC vom Router und checke auch den von deinem Vater, damit der auch sauber bleibt.

flori

@kaiserfive
naja ein paar sachen für die schule, aber rund 8000Lieder
Ich mach mich dann mal ans Sichern der Daten.

@comvalley
danke für den Link, aber ich werde mir auch bei der gelegen heit ein neus Linux installieren.

flori

comvalley

Das sieht ja nach einem langen Sonntag für dich aus

Ferry

Viel Spaß beim formatieren
Dein Computer ist danach viel schneller und stabiler, du wirst es sehen.

flori

Ferry
ich hoffe es :lol:

noch eine frage: wie kann ich meine e-mails sichern?
Ich benutze thunderbird.

Anonymous

Flori, das sollte mit mozbackup gehen. Es gibt auch speziell für den Donnervolgel etwas, aber ich meine nur Shareware oder gar gegen Cash...

Schau mal unter der SUCHE nach, da findest du etwas zu mozbackup

Viren?

Wie finde ich die besten Fototapeten für mein Zuhause?

Was habt ihr euch zuletzt gekauft?

Word 2010: Silbentrennung aktivieren

Die Kunst des Einschenkens von Bier.

"Foundation" bei Apple TV+: Zwei Folgen so teuer wie ein Kinofilm

Benutzer online in diesem Thema